엔드포인트 위협탐지 및 대응

엔드포인트 탐지 및 대응(Endpoint Detection and Response, 줄여서 EDR) 또는 엔드포인트 위협 탐지 및 대응(Endpoint Threat Detection and Response, 줄여서 ETDR)은 컴퓨터와 모바일, 서버 등 단말(Endpoint)에서 발생하는 악성행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션이다.^[1][2] 주로 악성코드, 랜섬웨어, 바이러스, 정보유출 차단목적으로 사용되나 ‘제로데이 공격(Zero day Exploit)’ 대응에 효과적인 것으로 알려져 있다.^[3]

필요성

AV-TEST의 2016/2017 시큐리티 리포트에 따르면 매일 35만 개의 악성코드, 랜섬웨어 등 보안위협이 새롭게 발견된다.^[4] 최초로 발생한 변종/신종 악성코드는 안티바이러스 엔진 안에 정보가 있지 않기 때문에 감염될 수밖에 없다. 지능화된 악성코드 APT 대응 솔루션을 탐지하는 기능을 탑재하고 있어 APT 대응 솔루션 발견시 활동을 중지하거나 어느정도의 시간이 흐른 이후 활동을 시작하기도 한다. 엔드포인트에 무사히 안착한 악성코드는 악성행위를 시작하고 상주하면서 대량의 정보를 유출하거나 랜섬웨어를 실행해 개인정보를 변조, 파괴할 수 있다.

작동원리^[5]

엔드포인트에서 프로세스 생성, 레지스트리 변경, 인터넷 접속기록, 파일다운로드 등 다양한 정보를 수집한다. 수집정보는 EDR 서버로 전송, 분석된다. 이곳에서 악성 프로세스 여부를 판단한다.

악성코드로 판명된 정보가 있을 경우 해당 패턴을 EDR 엔진에 업데이트한다. 사내 모든 EDR 에이전트에 적용한다. 외부 클라우드 EDR 서버에도 적용되므로 제로데이 공격과 같은 최초의 악성행위에 대응할 수 있다.

패턴 업데이트 부분에서 안티바이러스와의 차이점이 있다면 안티바이러스는 시그니처 기반의 탐지방식을 사용하고 있으며 EDR은 행위기반을 통해 탐지한다는 점이다.

기존 솔루션과의 차이점

• 실시간 차단이 아닌 '탐지 및 대응'을 위한 솔루션이다. 다양한 이벤트를 보고 분석하기 때문에 엔드포인트에서 모든 데이터를 수집해 연계, 분석한다.^[6]
• 엔드포인트에서 발생하는 모든 이벤트를 ‘탐지 및 대응’ 해야 하기 때문에 다른 솔루션과의 연계가 필요하다. 안티바이러스, 유해사이트차단, 평판정보, 위협, 인텔리전스, SIEM, 행위분석기술, DLP, 보안관제 등 여러 보안솔루션의 기술이 필요하므로 연계돼야 한다.^[7]

같이 보기

• 데이터 유출 방지

각주

1. “What is endpoint detection and response (EDR)? A definition by WhatIs.com” (영어). 2019년 12월 3일에 확인함. 
2. “Top 10 Endpoint Detection and Response (EDR) Solutions”. 2019년 12월 3일에 확인함. 
3. “How to Detect and Prevent Zero Day Attacks”. 《Capsule8》 (영어). 2019년 12월 3일에 원본 문서에서 보존된 문서. 2019년 12월 3일에 확인함. 
4. “AV-TEST: The number of malware decreases, but their complexity increases”. 《Security Affairs》 (영어). 2017년 7월 5일. 2019년 12월 3일에 확인함. 
5. 길민권 (2019년 10월 7일). “왜 엔드포인트 위협탐지대응(EDR) 솔루션인가”. 《데일리시큐》. 2019년 12월 3일에 확인함. 
6. 김선애 (2019년 11월 19일). “침체된 엔드포인트 보안 시장 돌파구”. 《데이터넷》. 화산미디어. 2019년 12월 3일에 확인함. 
7. 김선애 (2019년 11월 25일). “다양한 EDR 공급 모델 ‘주목’”. 《데이터넷》. 화산미디어. 2020년 3월 11일에 확인함.